Journal Le nouveau jeu de Microsoft : Questions pour un Neuneu

Posté par .
Tags : aucun
16
20
mai
2009
Cher journal, tu connais le principe : en même temps qu'un mot de passe, on te demande de choisir une question et de donner la réponse. Ainsi, à la prochaine crise d'amnésie, pas de problème : on te demande le nom de ton animal préféré, tu réponds "Tux", et tu récupères un mot de passe.

Pas de problème, sauf un : les questions sont trop faciles… ou trop difficiles. Des chercheurs de Microsoft Research et de Carnegie Mellon ont publié une étude, portant sur les principaux fournisseurs d'émaux gratuits (Hotmail compris), montrant qu'un inconnu devine la réponse dans 17% des cas et que 20% des utilisateurs oublient leur propre réponse après six mois. De plus, une attaque automatisée, donnant les 5 réponses les plus fréquentes, a marché dans 13% des cas.

Ces résultats étaient prévisibles au vu de deux précédentes études datant de 1990 et 1996, ce qui témoigne d'un certain manque d'innovation dans le domaine. Le problème est pourtant réel, comme en témoigne le piratage du compte Yahoo! Mail de Sarah Palin.

Alors, que faire ? L'article propose des pistes, comme ne pas autoriser trop d'essais, surtout si ce sont des réponses fréquentes. À noter que, bizarrement, laisser les gens choisir leur propre question ne marche pas, car ils prennent souvent des questions trop faciles, dont la réponse est facile à trouver (nom de jeune fille de la mère…) ou ne laisse que peu de possibilités (marque de soda préférée…).

Certains utilisateurs ont d'ores et déjà décidé de contourner le système. Par exemple, à la question "Quel est le prénom de votre femme ?", ils donnent une réponse ridicule, comme "Gkopsnbépoèvdljzw". Dans cette étude, le résultat est que 13% des personnes ne retrouvaient plus leur (fausse) réponse, c'est ballot.

Sur ce je te laisse, cher journal. Choisis bien tes questions, dorénavant. Tiens, bonsoir Gkopsnbépoèvdljzw, ta journée s'est bien passée ? Non s'il te plaît, pas la tête…
  • # Vous devez entrer un sujet et un commentaire

    Posté par (page perso) . Évalué à 10.

    Certains utilisateurs ont d'ores et déjà décidé de contourner le système. Par exemple, à la question "Quel est le prénom de votre femme ?", ils donnent une réponse ridicule, comme "Gkopsnbépoèvdljzw".

    Je ne donne que des réponses de ce genre, mais je ne tiens même pas à m'en souvenir. Je trouve ce genre de système tellement naze pour la sécurité… à quoi bon avoir un mot de passe dans ce cas ? Surtout qu'une personne qui nous connaît peut deviner la réponse.
  • # Même plus besoin de social engineering

    Posté par . Évalué à 10.

    Kél é le nom de votre fils?

    Kévin.
  • # securite ?

    Posté par (page perso) . Évalué à 3.

    Je ne pense pas que le probleme vienne de la securite, je pense tout simplement qu'il n'y a pas de probleme. Les personnes qui accordent de l'importance a ce genre de securite trouveront une solution qui leur conviennent. Quand je lis tes statistiques, je constante surtout que "dans 17% des cas" la personne qui repond ne se preocupe pas de ce genre de babiole.
    Je trouve ce genre de question subsidiare tres pertinente car c'est ce qui me permet d'etre original en repondant a la question "Quel est le nom de jeune fille de votre mere ?" par "p0uRqu0i?" ou "monoprix" ou pourquoi pas "absolument".
    Je ne vois pas l'interet de choisir un mot de passe complique si c'est pour repondre un truc bidon a la question d'apres...
    • [^] # Re: securite ?

      Posté par (page perso) . Évalué à 3.

      Comme dirait Bruce Schneier (que l'auteur du journal a oublié de citer) : "à quoi bon avoir une sécurité plus faible que le mot-de-passe quand on l'a oublié".

      Il semblerait aussi que le compte de Sarah Palin fut "piraté" de cette manière pendant la course aux présidentielles américaines.
      • [^] # Re: securite ?

        Posté par . Évalué à 3.

        Il semblerait aussi que le compte de Sarah Palin fut "piraté" de cette manière pendant la course aux présidentielles américaines.
        Vraiment ? C'est intéressant mais ça a l'air difficile à croire, quand même. Tu aurais une référence ?
        • [^] # Re: securite ?

          Posté par . Évalué à 2.

          On parle de compte yahoo.

          http://www.wired.com/threatlevel/2008/09/palin-e-mail-ha/

          As detailed in the postings, the Palin hack didn’t require any real skill. Instead, the hacker simply reset Palin’s password using her birthdate, ZIP code and information about where she met her spouse — the security question on her Yahoo account, which was answered (Wasilla High) by a simple Google search.
          • [^] # Re: securite ?

            Posté par . Évalué à 2.

            C'est une référence qui aurait mérité de figurer dans le journal. Je vais le dire à l'auteur.
    • [^] # Re: securite ?

      Posté par . Évalué à 2.

      Merci pour l'info

      Dis au revoir à tes comptes e-mail MOUAHAHAHAHAAAA! (bon, vu qu'à l'écrit ça rend pas bien, imaginez un rire diabolique)

      Sinon il est bien ce journal, parce que du coup je viens de vérifier, et j'avais pas mis de question secrète sur mon compte mail. J'avais mis une adresse e-mail que je n'utilise plus... avec un mot de passe de 8 lettres qui n'a jamais changé en plus de 10 ans!

      Du coup j'ai un peu fait le ménage, je me sens mie... euh, non, vu qu'avant de lire le journal j'étais pas inquiet non plus...

      N'empêche que le jour où ça ne coûtera plus rien, je me prendrais mon serveur privé avec mon webmail accessible uniquement sur un port exotique sécurisé avec un mot de passe à rallonge.
      Ca bloquera pas les plus expérimentés, mais ça sera suffisant pour les Kevin...

      Vous avez lu ce commentaire jusqu'au bout, ça me fait plaisir de savoir que vous vous intéressez autant à ma vie!
      • [^] # Re: securite ?

        Posté par (page perso) . Évalué à 5.

        M'en fout, je lirais tes mails à partir d'une faille d'un site php sur ton serveur.

        Envoyé depuis mon lapin.

  • # Quelque fois, Security FAIL :)

    Posté par . Évalué à 3.

    Ca m'a rappelé une histoire:


    12:48 df: bon je peux pas payer
    12:48 df: *super visa*
    12:48 df: ça me demande mon plat préféré
    12:48 df: LA QUESTION DE SECURITE
    12:48 df: comme je sais que j’ai mis une chaine aléatoire là dedans
    12:48 df: j’ai aucun recours
    12:48 df: mais quelle grosse merde
    12:50 df: ah mon navigateur s’en souvenait :)
    12:50 usa: security fail


    Trouvé sur:
    http://nonop.wordpress.com/2009/03/18/inscription-au-sstic/

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.